利用观安魅影进行安全攻防演习 – 作者:观安信息

观安信息魅影威胁监测系统是基于欺骗防御技术的主动防御系统，通过设计好陷阱并引诱攻击者上钩，从而精确的感知攻击者行为，收集和捕获攻击行为，方便管理员做出及时的安全响应。主要用于保护企业中容易被黑客攻击的业务系统，比如用户数据、项目数据等敏感信息的业务环境。第一时间感知到威胁事件的发生，掌握安全事件的主动权，并能迅速进行应急响应，控制和降低企业安全风险。本文将介绍某运营商客户利用魅影应对攻防演习的一次经历。

部署方式

部署前与客户经过讨论，决定在内网区域与DMZ区域各部署若干节点，DMZ区域部分节点会映射到外网。为提高蜜罐仿真程度，上述两区域的节点仿真策略也分为两部分，内网区域的节点主要暴露windows类服务及其端口，DMZ区域主要映射HTTP服务及其端口，由此攻击者将难以区分真实资产与蜜罐资产。诱捕节点映射的外网IP是客户业务IP段中的一个，相对容易带给攻击者一种假象：“该IP地址是我通过信息收集工作收集到的，它是客户真实资产”，由此攻击者更容易进入到我们预置的陷阱中。

主要成效

日前，在该运营商客户部署的魅影已初见成效，魅影诱捕节点部署位置位于该运营商DMZ区域与内网区域，经发现其威胁告警主要存在于DMZ区域，主要的攻击方式为POST提交，达到800+次，对应IP 10+，通过日志判断主要为手工渗透，并使用漏洞利用工具进行攻击。同时发现相关威胁源IP 10+，其中struts2漏洞利用20+次，webshell上传10+次，通过对相应IP攻击源画像的判断分析，该IP攻击链为：信息收集àC段存活主机扫描à端口探测àWEB访问àstruts2漏洞利用。

攻击流程图

       发现告警后防守方通过及时封堵相应IP进行了处理，阻断了该恶意IP的后续渗透。

溯源信息

       此外，我方针对一个源IP获取到攻击者的百度账号信息，通过该账号可以在网络中找到蛛丝马迹，最终定位到其所就读的学校。

根据百度用户名搜索

总结

         近年来，企业的安全攻防演练越来越常态化，每个防守方都想掌握演练主动权，在众多的安全产品中，蜜罐无疑是最适合的一种，其低侵入式部署以及低误报率都能有效提高防守方工作效率，而蜜罐优异的仿真能力能吸引潜在的攻击者主动”暴露”，同时部署的溯源蜜罐更能对攻击者形成威慑，帮助防守方掌握主动权。在可预见的未来，蜜罐一定会成为攻防对抗中一个绕不开的角色。

来源：freebuf.com 2020-07-31 15:50:58 by: 观安信息